Александр (isursky) wrote,
Александр
isursky

Дырявая реклама.



Программы неизвестного происхождения таят в себе опасность. Но приложениям от надежных разработчиков мы привыкли доверять. Положительные рейтинги, миллионы загрузок, известные компании и распространение через официальные магазины вроде Google Play — залог безопасности. Но, к сожалению, не ее гарантия.


Сегодня речь пойдет не о троянах, а о вполне добропорядочных приложениях, из-за которых, тем не менее, ваши данные все равно могут уплыть в Сеть.

Эксперты в области кибербезопасности изучили в общей сложности 13 млн APK (установочных пакетов приложений для Android) и выяснили, что около четверти из них передают через Интернет незашифрованные данные. Причем среди этих приложений некоторые насчитывают сотни миллионов скачиваний, а иногда — более полумиллиарда! Представляете себе масштаб проблемы?

В некоторых случаях информация сливается в Сеть из-за ошибок, допущенных разработчиками, однако чаще всего в рамках своих основных функций приложения если и отправляют данные пользователя на сервер, то используют для этого защищенный протокол HTTPS, который не позволяет кому попало их перехватывать. А причиной проблем становятся сторонние сервисы, которые разработчики подключают, не разбираясь. Например, аналитика или реклама: они тоже передают информацию через Интернет, но используют для этого незащищенный протокол HTTP.

Какая информация может пострадать?

Основная масса утекающих сведений касалась модели устройства и его технических характеристик, данных о сети или провайдере и имени пакета приложения (то есть названия, по которому его опознает система), а многие сервисы сливали в Интернет еще и координаты смартфона или планшета.

В отдельных случаях через протокол HTTP пересылались сведения об использовании той программы, в которую был встроен сторонний сервис, то есть, о лайках, постах, посещенных страничках и так далее, а также информация о владельце гаджета – имя, номер телефона, дата рождения. Нередко незащищенными оказывались и уникальные ключи, которые каждый раз создаются при авторизации. По счастью, большинство сервисов не передают в открытом виде логины и пароли, хотя нашлись такие, которые делали и это.

Каждое четвертое мобильное приложение передает часть данных по незащищенному каналу.

В чем опасность?

Через протокол HTTP информация передается как обычный текст, поэтому ее может прочитать практически кто угодно. Доступ к незащищенным данным есть, например, у провайдера. Кроме того, на пути от вашего приложения к серверу сторонней службы найдется еще несколько «перевалочных пунктов» — устройств, которые принимают и какое-то время хранят сведения.

Любое сетевое оборудование, включая ваш домашний роутер, может оказаться уязвимым, и если злоумышленник его взломает, он получит доступ и к вашей информации.
Провайдер, как вы помните, может ее просматривать, даже ничего не взламывая.

А подробных сведений о гаджете – номеров IMEI и IMSI – уже достаточно, чтобы отслеживать ваши действия. Более полная информация вообще делает вас «открытой книгой» для посторонних — от рекламодателей до желающих выдать себя за вашего приятеля и предложить скачать вредоносный файл.

Впрочем, утечка сведений об устройстве и его пользователе — это еще полбеды, ведь незашифрованную информацию можно еще и подменить. В ответ на HTTP-запрос сервер возвращает приложению, скажем, рекламный ролик, вместо которого злоумышленник вполне может подсунуть вам свой, не такой безобидный. А можно, например, в убедительной рекламе какого-нибудь приложения подменить только ссылку — и вот уже вместо симпатичной игрушки или агрегатора скидок пользователь рискует скачать на свой смартфон что-то уж совсем зловредное.

Что делать?

Вообще, заниматься такими проблемами следует разработчикам приложений. Однако, к сожалению, полностью довериться им мы не можем. Поэтому есть пара простых советов, которые помогут вам лучше защитить себя и свои данные.

Никогда не будет лишним проверить, каких разрешений требует приложение, даже если у него миллионы скачиваний. Если, скажем, очередной мессенджер хочет знать, где вы находитесь, смело говорите ему, что он обойдется.

Если средства позволяют, покупайте платные версии приложений. Они не показывают рекламу, а значит, и риск утечки данных меньше. Впрочем, они все еще могут использовать сторонние аналитические модули, которые зачастую ведут себя не лучше.

Используйте платные VPN-сервисы, — это защитит соединение и обезопасит ваши данные, если разработчики с этой задачей не справились.
Subscribe
promo isursky march 1, 2015 17:01 73
Buy for 10 tokens
Очень часто, люди, увидевшие меня впервые в жизни, задаются вопросом, как с такими руками (пальцы рук практически не работают) ты умудряешься работать за компьютером и управляться с планшетом и прочими гаджетами? Как-как? Вот так! Жизнь заставит - не так раскорячишься! Поначалу туго было. В…
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 1 comment